Simple is Best

ISO 27001 的核心思想是 PPR，即 Prevent, Protect, Record （预防、保护、记录）。

 

Source: http://www.dnv.com.cn/Binaries/ISO27001_Brochure_chinese_tcm51-194471.pdf

 

 

管理风险(Managing Risk)，关注三个关键区域 ACA，即 Awareness, Compliance, Assurance （知道、遵从、保证）。

 

Awareness: 要知道面对的威胁环境、保护资产的最佳实践。[只有知道，才会有信心。]

Compliance: 要遵从安全战略中的组件 — 法律、法规、行业规范。[只有遵从，才会更省心。]

Assurance: 要有效、效率，提高安全态势。[只有保证，才会更放心。]

 

Source: http://www.verizonbusiness.com/us/security/professional/methodology.xml

 

安全咨询服务(SCS)是协助客户解决 What should I do 和 How could I do 的问题。

可管理安全服务(MSS)是解决 help 客户 do 的问题。

SCS 和 MSS 都贯穿 ACA，是 Brain 与 Hand 关系。

 

如果客户问 SCS 和 MSS 最终倒底有什么用？那就是为了有效的 Managing Risk。 

 

Improve your confidence, more ease.